Google ha dado un paso más en la protección de la nube contra el secuestro de datos: su sistema de detección de ransomware para Google Drive, potenciado por modelos de IA, ya está disponible para todos los clientes de pago y se ha activado por defecto. Se trata de una funcionalidad que, cuando detecta actividad sospechosa durante la sincronización desde un equipo, interrumpe esa sincronización al instante y avisa tanto al usuario como a los administradores para contener el daño.
La idea central es simple pero importante: aunque la detección no impide que un ordenador comprometido llegue a cifrar ficheros localmente, sí evita que esas versiones cifradas se propaguen a las copias que están en Drive. Eso significa que la copia en la nube queda protegida y puede recuperarse con rapidez cuando la máquina infectada se sanea, gracias a la herramienta de restauración de Drive que permite deshacer los cambios provocados por el ransomware. Google ofrece más detalles técnicos y pasos administrativos en su centro de ayuda: explicación oficial sobre la detección y recuperación.
Esta función empezó su despliegue en fase beta en octubre de 2025 y ahora Google afirma que, con las mejoras en su modelo de IA, la detección cubre un rango mucho mayor de patrones de cifrado malicioso y lo hace con mayor rapidez. En palabras de la compañía, el último modelo detecta decenas de veces más infecciones que antes, lo que se traduce en una protección más amplia para las organizaciones. La publicación en el blog de Workspace ofrece información sobre la llegada general de la característica: anuncio oficial en el blog de Google Workspace.
Desde el punto de vista práctico, cuando Drive detecta archivos cifrados durante la sincronización desde un equipo de sobremesa, la sincronización se detiene de forma automática. El usuario afectado recibe una notificación por correo y en Drive, y los administradores ven una alerta en la consola de administración, lo que facilita una respuesta coordinada. Además, Google proporciona instrucciones paso a paso para la restauración de los archivos afectados mediante la herramienta de recuperación de Drive, para que las organizaciones puedan volver a la normalidad cuanto antes.
Es importante subrayar las limitaciones: detener la sincronización no es un sustituto de las medidas de protección en los endpoints. El ataque puede haber cifrado datos en el disco local y, por tanto, las buenas prácticas siguen siendo imprescindibles: mantener sistemas y software actualizados, disponer de copias de seguridad fuera de la reach de los atacantes, aplicar políticas de mínimos privilegios y usar autenticación multifactor. Para recomendaciones oficiales y guías sobre cómo prepararse frente al ransomware, la Agencia de Seguridad Cibernética de Estados Unidos ofrece recursos útiles: guía de CISA sobre ransomware.
En cuanto a disponibilidad, Google ha activado la detección por defecto para organizaciones con licencias Business, Enterprise, Education y Frontline, mientras que la funcionalidad de restauración está accesible para clientes de Google Workspace, suscriptores individuales y usuarios con cuentas personales. Los administradores que lo consideren necesario pueden desactivar la protección desde la consola de administración bajo la sección de aplicaciones de Google Workspace, en los ajustes de Drive y Docs relacionados con malware y ransomware. Para que las alertas se activen en los endpoints, Google pide que se instale la versión más reciente de Drive para escritorio (v.114 o superior); aun así, si el cliente de escritorio es una versión antigua, la sincronización seguirá pausándose cuando se detecte una amenaza.
Google no es el único actor en este espacio. Otros proveedores de almacenamiento en la nube han ofrecido funciones similares: Microsoft incluye detección y recuperación de ransomware en OneDrive para suscriptores de Microsoft 365, con recursos y procedimientos para recuperar archivos dañados, tal y como detalla su documentación de soporte: OneDrive — detección y recuperación. Dropbox también dispone de mecanismos de detección para clientes empresariales y planes avanzados; su ayuda en línea explica qué ofrecen y a quién va dirigido: información de Dropbox sobre detección de ransomware. La convergencia de estas funciones muestra que los proveedores cloud están incorporando capacidades proactivas para limitar el alcance del daño cuando los endpoints fallan.
Desde la perspectiva de TI y seguridad, la llegada de detección impulsada por IA a servicios como Drive plantea preguntas operativas y de privacidad. ¿Qué señales analiza el modelo? ¿Se evalúa el contenido de los archivos o solo los patrones de comportamiento de la sincronización? Google indica que la detección se realiza durante la sincronización y que, ante la sospecha de cifrado malicioso, se bloquea la subida, se notifica y se crea una alerta administrativa, pero las organizaciones prudentes deberían revisar políticas de privacidad y retención, además de coordinar con fabricantes de antivirus y proveedores de gestión de endpoints para una cobertura completa.
Para las empresas, la recomendación es clara: activar una defensa en capas. La función de Drive añade una barrera importante contra la propagación del ransomware a la nube, pero no sustituye a copias de seguridad fuera de línea, segmentación de redes, formación a usuarios ni soluciones endpoint modernas. Implementada junto con esas medidas, esta detección AI puede reducir significativamente el impacto de un incidente y acelerar la recuperación.
En definitiva, que Google habilite por defecto una detección de ransomware alimentada por IA en Drive para clientes de pago es una buena noticia para administradores y usuarios. Representa una mejora en la protección de los activos en la nube y en la capacidad de respuesta ante incidentes, aunque seguirá siendo parte de un ecosistema de controles que las organizaciones deben gestionar de forma coordinada.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...